POLÍTICAS, PLANES Y

PROCEDIMIENTOS DE
SEGURIDAD
Introducción y Conceptos Básicos

 Podemos definir una Política de Seguridad como una “declaración de intenciones de alto
nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para
definir y delimitar responsabilidades para las diversas actuaciones técnicas y
organizativas que se requieran”.
Introducción y Conceptos Básicos

 Un Plan de Seguridad es un conjunto de decisiones que definen cursos de

acción futuros, así como los medios que se van a utilizar para conseguirlos.
 Un Procedimiento de Seguridad es la definición detallada de los pasos a
ejecutar para llevar a cabo unas tareas determinadas. Los Procedimientos de
Seguridad permiten aplicar e implantar las Políticas de Seguridad que han
sido aprobadas por la organización.
1.1 Introducción y Conceptos Básicos

 Las Políticas de Seguridad de una organización deberían cumplir con las

siguientes características y requisitos básicos:
 Deberían poder ser implementadas a través de determinados procedimientos
administrativos y la publicación de unas guías de uso aceptable del sistema por
parte del personal.
 Deben definir claramente las responsabilidades exigidas al personal con acceso al
sistema.
 Deben cumplir con las exigencias del entorno legal (Protección de Datos
Personales, Protección a la Propiedad Intelectual, Código Penal…).
 Se tienen que revisar de forma periódica para poder adaptarlas a las nuevas
exigencias de la organización y de entorno tecnológico y lega.
 Políticas, Planes y Procedimientos de
Seguridad

La figura muestra la jerarquía de conceptos manejados al

hablar de las políticas, planes y procedimientos de seguridad.
CIA
En la cima de la pirámide se situarían los objetivos
fundamentales de la Gestión de la Seguridad de la Políticas
información, resumidos mediante el acrónimo CIA
(Confidencialidad, Integridad y Disponibilidad de la Planes
Información)
Procedimientos

Tareas/Operaciones

Requisitos/Evidencias
 Ejemplo de Política y Procedimientos de
Seguridad
Política Procedimiento Tareas a realizar
Protección del servidor Actualización del software • Revisión diaria de los parches publicados por el fabricante
Web de la organización del servidor Web • Seguimiento de las noticias sobre posibles fallos de
contra accesos no seguridad.
autorizados. Revisión de los registros de • Revisión semanal de los “logs” del servidor para detectar
actividad en el servidor situaciones anómalas.
• Configuración de alertas de seguridad que permitan
reaccionar de forma urgente ante determinados tipos de
ataques e intentos de intrusión.
 Políticas, Planes y Procedimientos de
Seguridad

 Las políticas de seguridad de una organización, deberían cumplir con las siguientes características y requisitos
básicos:
 Deben poder ser implementadas a través de determinados procedimientos administrativos.
 Deben definir claramente las responsabilidades exigidas al personal con acceso al sistema, técnicos, analistas,
programadores, etc.
 Deben cumplir con las exigencias del entorno legal (protección de datos personales, protección a la propiedad
intelectual, etc.)
 Se tienen que revisar de forma periódica para poder adaptarlas a las nuevas exigencias de la organización.
 Aplicación del principio de “Defensa en Profundidad”.
 1.2 Definición e Implantación de las Políticas
de Seguridad
 Al definir las Políticas de Seguridad de una organización, es conveniente contemplar los siguientes aspectos.
 Alcance: recursos, instalaciones y procesos
 Objetivos perseguidos
 Compromiso de la dirección con la organización
 Análisis y gestión de riesgos
 Asignación de responsabilidades en los distintos niveles
 Planes de contingencia y de continuidad del negocio
 Cumplimiento de la legislación vigente
 Etc.
 1.2 Definición e Implantación de las Políticas
de Seguridad

 Asimismo, el acceso a documentación clara y detallada sobre todas las medidas y directrices de seguridad, así
como los planes de formación y sensibilización inicial de los nuevos empleados que se incorporan a la
organización son otros dos aspectos de vital importancia.

 La documentación deberá incluir contenidos sencillos y asequibles para personal no técnico, incorporando un
glosario con la terminología empleada en los distintos apartados.
 1.2 Definición e Implantación de las Políticas
de Seguridad
 En cada documento se podría incluir la siguiente información:
 Título y codificación
 Fecha de publicación
 Fecha de entrada e vigor
 Fecha prevista de revisión o renovación
 Ámbito de aplicación
 Descripción detallada
 Responsables de revisión y aprobación
 Documento que reemplaza y documentos relacionados
 1.2 Definición e Implantación de las Políticas
de Seguridad
 En los procedimientos de seguridad será necesario especificar además otra información adicional:
 Descripción detallada de las actividades que se debe ejecutar
 Personas o departamentos responsables de su ejecución
 Momento y/o lugar en que deben realizarse
 Controles para verificar su correcta ejecución

 La implantación de un adecuado sistema de gestión documental, facilitará el registro, clasificación y localización

de toda la documentación que se haya generado.
 1.2 Definición e Implantación de las Políticas
de Seguridad
 Por otra parte la organización también debe contemplar una serie de actuaciones para verificar el adecuado nivel
de cumplimiento e implantación de las directrices y procedimientos de seguridad, como auditorías y revisiones
periódicas, simulacros de fallos y ataques informáticos, entre otras.

 Otra medida que contribuye a una adecuada implantación sería la actualización y revisión de las políticas de
seguridad cuando sea necesario, manteniendo plenamente vigentes las directrices y medidas establecidas.
 1.3 Inventario de los recursos y definición de
los servicios ofrecidos
 Entre los recursos del sistema de información de una organización están:
 Centros de tratamiento y locales donde se encuentren ubicados los ordenadores o se almacenen soportes
informáticos con copia de los datos de la organización.
 Puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso a los ficheros con datos de carácter
personal.
 Servidores, ordenadores personales, portátiles, agendas electrónicas, impresoras y en general, cualquier otro
equipamiento informático.
 Sistemas operativos y aplicaciones informáticas de gestión instaladas.
 Infraestructura de red de datos y de comunicaciones de la organización.
 Documentación y manuales de las aplicaciones y dispositivos del sistema informático.
 Bases de datos, ficheros y documentos.
 1.4 Seguridad frente al personal

 La Política de Seguridad del sistema informático frente al personal de la organización, debe contemplar los
siguientes aspectos:
 Alta de empleados
 Baja de empleados
 Funciones, obligaciones y derechos de los usuarios
 Formación y sensibilización de los usuarios
 1.5 Adquisición de Productos

 La Política de Seguridad relacionada con la adquisición de productos tecnológicos necesarios para el desarrollo y
el mantenimiento del sistema informático de la organización debe contemplar toda una serie de actividades ligadas
al proceso de compra:
 Evaluación de productos de acuerdo con las necesidades y requisitos del sistema
 Evaluación de proveedores
 Análisis comparativo de ofertas
 Definición de términos y condiciones de compra
 Instalación y configuración de los productos
 Formación y soporte a usuarios y personal técnico
 Tareas de soporte y mantenimiento postventa
 Actualización de los productos con nuevas versiones y parches de seguridad
 1.6 Relación con Proveedores

 La Política de Seguridad relacionada con la subcontratación de determinados trabajos y actividades a proveedores

externos requiere contemplar aspectos como la negociación de los mínimos niveles de servicio y calidad, en
especial con aquellos proveedores relacionados con la informática, las comunicaciones o el tratamiento de datos.

 Asimismo, se debería exigir el cumplimiento de ciertas medidas de seguridad que afectan al sistema informático
de la organización. Este aspecto resulta de especial importancia en los tratamientos de datos personales, ya que así
lo exigen leyes como la Ley Orgánica de Protección de Datos Personales en España.
 1.7 Seguridad Física de las Instalaciones

 Los locales donde se ubiquen los ordenadores que contienen o puedan acceder a los ficheros y datos más sensibles
de la organización deben ser objeto de una especial protección.

 Generalmente, una organización de tamaño mediano o grande dispondrá de una sala especialmente acondicionada
para ubicar los servidores centrales con todos los ficheros y aplicaciones informáticas. Se debería implantar un
sistema de control de acceso físico a esta sala, permitiendo la entrada a personal debidamente autorizado
relacionado con el Sistema de Información.
 1.7 Seguridad Física de las Instalaciones

 Las medidas relacionadas con la seguridad física deberían contemplar, en primer lugar, las características de
construcción de los edificios o instalaciones donde se vayan a ubicar los recursos informáticos y del sistema de
información, analizando puntos como:
 Protección frente a daños por fuego, inundación, explosiones, accesos no autorizados, etc.
 Selección de los elementos constructivos internos más adecuados
 Definición de distintas áreas o zonas de seguridad dentro del edificio: como áreas públicas, áreas internas y áreas
de acceso restringido
 Disponibilidad de zonas destinadas a carga, descarga y almacenamiento de suministros
 Implantación de sistemas de vigilancia
 1.8 Sistemas de protección eléctrica

 Las directrices de seguridad relacionadas con la protección eléctrica de los equipos informáticos deberían definir
aspectos como:
 Adecuada conexión de los equipos a la toma de tierra
 Revisión de la instalación eléctrica específica para el sistema informático
 Eliminación de la electricidad estática en las salas donde se ubiquen los equipos más importantes
 Filtrado de ruidos e interferencias electromagnéticas
 Utilización de Sistemas de Alimentación Ininterrumpida (SAI)
 1.9 Control de nivel de emisiones
electromagnéticas
 Todos los equipos informáticos y electrónicos emiten señales radioeléctricas que podrían revelar información de
interés a aquellos usuarios con los medios para aceptar y analizar dichas señales. Para ello, bastaría con una antena
direccional, amplificadores y equipos de radiofrecuencia conectados a un ordenador.

 Por ello, en algunos casos las Políticas de Seguridad deberían contemplar también el cumplimiento de la normativa
TEMPEST (Transient Electromagnetic Pulse Emission Standard, Estándar de Emisión de Pulsos
Electromagnéticos Transitorios) por parte de los equipos de la organización que incluyen información más
sensible.

 El estándar TEMPEST fue desarrollado por el gobierno de los EU en los años cincuentas para poder controlar el
nivel de emisiones electromagnéticas de todo tipo de equipos informáticos y electrónicos.
 1.9 Control de nivel de emisiones
electromagnéticas
 Para poder cumplir con los requisitos de esta norma. Se deberían adoptar medidas como:
 Diseño cuidadoso de los componentes de los circuitos y de las fuentes de alimentación de los equipos informáticos
y electrónicos
 Utilización de diversos tipos de filtros para atenuar el nivel de las emisiones electromagnéticas
 Aislamiento de los equipos informáticos que puedan procesar datos sensibles
 Utilización de cables de fibra óptica o cables apantallados
 Apantallamiento eléctrico de los equipos para reducir al máximo la emisión de radiaciones
 1.10 Vigilancia de la Red y de los Elementos
de Conectividad
 Los dispositivos de red como los hubs, switches, routers o puntos de acceso inalámbricos, podrían facilitar el
acceso a la red a usuarios no autorizados si no se encuentran protegidos de forma adecuada.

 Por esto, en las Políticas de Seguridad se deberían contemplar las medidas previstas para reforzar la seguridad de
estos equipos y de toda la infraestructura de red.

 Así, por ejemplo, es posible detectar pinchazos en el cableado de la red si la organización decide utilizar un
cableado de alto nivel de seguridad, por ejemplo, el cable de datos se puede introducir en un sistema de tubos
herméticamente cerrados, por cuyo interior circula aire a presión, contando con una serie de sensores que
monitorizan su estado de forma permanente, a fin de poder detectar cualquier posible variación de presión.
 1.11 Protección en el Acceso y Configuración
de los Servidores
 Los servidores , debido a su importancia para el correcto funcionamiento de muchas aplicaciones y servicios de la
red de la organización y a que suelen incorporar información sensible, tendrían que estar sometidos a mayores
medidas de seguridad en comparación con los equipos de los usuarios.
 Estas medidas deberían estar definidas en las Políticas de Seguridad y deberían contemplar aspectos como:
 Utilización de una contraseña a nivel de BIOS
 Utilización de contraseñas de encendido del equipo
 Inicio de sesión con tarjetas inteligentes
 Ubicación de los servidores en salas con acceso restringido
 Separación de los servicios críticos
 Configuración más robusta y segura de los servidores
 1.12 Seguridad en los Dispositivos de
Almacenamiento
 Los discos duros utilizados como dispositivos de almacenamiento de datos no volátil en equipos informáticos son
dispositivos que están compuestos de distintas maneras.

 Dependiendo de la configuración de estos discos duros y de otros dispositivos de almacenamiento, podemos

distinguir tres tipos de almacenamiento en un sistema informático:
 Almacenamiento directamente conectado (DAS)
 Almacenamiento conectado a la red (NAS)
 Redes de almacenamiento (SAN)
 1.13 Protección de los Equipos y Estaciones
de Trabajo
 Los equipos de los usuarios y estaciones de trabajo también deben estar sometidos a las directrices establecidas en
las Políticas de Seguridad de la organización.

 En estos equipos solo se deberían utilizar las herramientas corporativas, quedando totalmente prohibida la
instalación de otras aplicaciones software en los ordenadores PC de la empresa por parte de los usuarios. En
cualquier caso, el usuario del equipo debería solicitar la aprobación del Departamento de Informática antes de
proceder a instalar un nuevo programa o componente software en su equipo.
 1.13 Protección de los Equipos y Estaciones
de Trabajo
 Así mismo los usuarios deberán tener especial cuidado con su equipo de trabajo, impidiendo que este pueda ser
utilizado por personal que no se encuentre debidamente autorizado.

 La organización podría implantar determinadas soluciones para facilitar el control de la conexión de dispositivos
USB o FireWire en los equipos de los usuarios, así como el control de acceso a puertos de comunicaciones como
los puertos serie, puertos paralelo o puertos infrarrojos. También se podría limitar el uso de los puertos USB y de
las unidades lectoras/grabadoras de CDs y DVDs para evitar que se pudiera grabar información sensible o se
pudieran introducir determinados contenidos dañinos para el equipo, como virus, troyanos, gusanos, o programas
espía.
1.15 COPIAS DE SEGURIDAD
Es indispensable salvaguardar la integridad y disponibilidad los datos y ficheros de una
organización. Es necesario que existan procedimientos de realización de copias de seguridad y
de recuperación.
Copia de respaldo o seguridad
(backup): se entiende una copia
de datos de un fichero
automatizado en un soporte
que posibilite su recuperación.

Deben establecer la planificación de las copias que se deberán realizar en función con el
volumen y el tipo de información generada (completa, incremental o diferencial) y con el ciclo
de esta operación (diario, semanal)
COPIAS DE SEGURIDAD
Las servidores y soportes utilizados deberán ser almacenados en lugares seguros,
preferiblemente en locales diferentes en donde reside la información primaria.
Implementación de medidas de protección frente a posibles robos y daños provocados por
Incendio o inundaciones
Altas temperaturas o radiaciones
Deben de estar etiquetados

También deben establecer qué sistemas o técnicas se van a emplear ya sea algoritmos
criptográficos etc. para garantizar la privacidad de los datos.
La perdida o destrucción, parcial o total de datos deberá anotarse en un registro de incidencias.
COPIAS DE SEGURIDAD
TIPOS DE COPIAS
1. Copias completas: copia la totalidad de los datos en otro soporte (cintas, discos duros
externos, DVD, etc). Lleva más tiempo realizar el proceso de copia, y requiere más espacio
de almacenamiento
2. Copias diferenciales: sólo realiza una copia de los archivos que han cambiado desde la
última copia de seguridad completa.
3. Copias Incrementales: sólo realizan copias de los datos que han cambiado desde la última
copia de seguridad, (ya sea completa o incremental).
1.16 CONTROL DE LA SEGURIDAD DE
IMPRESORA Y OTROS DISPOSITIVOS
PERIFERICOS

En lo que se refiere a la protección de estos no deberían

estar situadas en áreas públicas.
Deberán limitar el acceso a los usuarios a cada impresora
o periférico compartido a través de la red de la
organización con políticas de dispositivos donde restringe
o impide el acceso a los dispositivos que son una parte
integral del sistema.
1.17 GESTIÓN DE SOPORTES
INFORMATICOS
La organización debería de disponer de un inventario actualizado de los soportes donde se guarden los
datos y documentos sensibles: discos duros externos, CDs, USB, etc.
Estos soportes deben de estar en
Acceso restringido al personal autorizado
El lugar de almacenamiento deberá cumplir las condiciones ambientales de la conservación
recomendadas por el fabricante.
Existencia de un registro de entradas y salida de soportes.

La política de Gestión de Soportes deberá contemplar las mediadas necesarias para garantizar una
adecuada protección d estos soportes durante sus traslados y almacenamiento, tanto física (para que no
puedan ser robados, sustituidos por falsos o dañados) como lógica (no puedan ser leídos, copiados o
modificados).
GESTIÓN DE SOPORTES
INFORMATICOS
Uso de dispositivos extraíbles de puerto USB representan amenazas a la seguridad de los
sistemas informáticos ya que permiten extraer de forma rápida y sencilla grandes cantidades de
datos y ficheros.
Evitarlos
Deshabilitar o limitar la conexión de dispositivos externos en los puerto USB
Firewire de todos o parte de sus equipos informáticos.
Aplicaciones como Device Lock, Divice Wall, Security Device.
GESTIÓN DE SOPORTES
INFORMATICOS
Destrucción segura de los soportes mediante el borrado de los datos y/o inutilización de
sistemas de almacenamiento donde deberá ser contemplada en las políticas de Seguridad de la
organización.
Aquellos que sean reutilizables deberán ser borrados físicamente de forma segura para que los
datos no sean recuperables.
Utilización de herramientas para el borrado seguro de la información de los soportes
magnéticos.
Realizar una desmagnetización o incluso una destrucción total del soporte de almacenamiento
para los datos más sensibles
Eliminar carpetas temporales, los datos guardados en las “cookies”, en las copias de seguridad
de los documentos, la libreta de direcciones, cuentas de correo etc.
 1.18 GESTIÓN DE CUENTAS DE
USUARIOS
En ella dependerá del correcto funcionamiento de otras medidas y directrices de seguridad
como el control de acceso lógico a los recursos o el registro de la actividad de usuarios.

 Revalidación anual de usuarios y grupos dentro del sistema

 Asignación de permisos y privilegios teniendo en cuenta las necesidades
operativas de cada usuario en función de su puesto de trabajo
 Modificaciones de permisos derivados de cambios en la asignación de funciones
de un empleado, procediendo al registro de dichas modificaciones
 Detección de actividades no autorizadas, como podrían ser las conexiones a horas
extrañas o desde equipos que no se habían contemplando inicialmente.
 Detección y bloqueo de cuentas inactivas, entendiendo como tales aquellas que
no hayan sido utilizadas en los últimos meses.
1.19 IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS
La Identificación y Autenticación de usuarios
constituye uno de los elementos del modelo de
seguridad conocido como “AAA” (Authentication,
Autorization & Accounting), que podríamos
traducir “Autenticación, Autorización y
Contabilidad (registro)”.
Se utiliza para poder identificar a usuarios y
controlar su acceso a los distintos recursos de un
sistema informático.
Identificación y autenticación de los usuarios: La
identificación es el proceso por el cual el usuario presenta
una determinada identidad para acceder a un sistema,
mientras que la autenticación permite validar la identidad
de usuario.
Control de acceso a los recursos del sistema informático,
mediante autorización en función de los permisos y
privilegios de los usuarios
Registro del uso de los recursos del sistema por parte de los
usuarios y de las aplicaciones, utilizando para ello los “logs”
del sistema.
Elementos fundamentales
IDENTIFICACIÓN Y AUTENTICACIÓN DE
USUARIOS
El mecanismo que se utilizado con mayor frecuencia para identificar a los usuarios se basa en
nombres de usuario (“login”) y en contraseñas (“password”).
La seguridad del proceso de autenticación depende totalmente de la confidencialidad de la
contraseña. Toda contraseña deberá cumplir con unos mínimos requisitos para garantizar su
seguridad.
Tamaño mínimo de contraseña, caducidad de la contraseña
Registro del historial de contraseñas previamente seleccionadas
por un usuario para impedir que puedan volver a ser utilizadas
Control de la adecuada composición de una contraseña que
esta sea difícil de adivinar alfanuméricos.
Bloqueo de cuentas de usuario tras varios intentos fallidos de
autenticación.
Ocultar el último nombre de usuario en el acceso desde un
equipo
IDENTIFICACIÓN Y AUTENTICACIÓN DE
USUARIOS
Normas de seguridad que deberían ser definidas en la política de Gestión de contraseñas del
sistema.
Al iniciar sesión por primera vez en el sistema, se deberá obligar al usuario cambiar la
contraseña previamente asignada a su cuenta.
La contraseña no deberá ser anotada en papel, ni guardada en un archivo
La contraseña solo deberá ser introducida por el usuario
La contraseña nunca debe de ser revelada a un tercero
Si fue revelada a un tercero el propietario deberá cambiar dicha contraseña
El usuario no deberá emplear la misma contraseña o muy similar a distintos sistemas.
1.20 AUTORIZACIÓN Y CONTROL DE
ACCESO LOGICO
Mediante el Control de Acceso a los distintos recursos del sistema es posible implementar las
medidas definidas por la organización, teniendo en cuenta las restricciones de acceso a las
aplicaciones, a los datos guardados en el sistema informático, a los servicios ofrecidos y a otros
recursos de tipo lógico del sistema.
Depende fundamentalmente de:
• La gestión de cuentas de usuarios
•La gestión de Permisos y privileigios.
AUTORIZACIÓN Y CONTROL DE ACCESO
LOGICO
Modelo de seguridad aplicado en el Control de Acceso se basa en la definición y gestión de
determinados objetos lógicos (dispositivos lógicos, ficheros, servicios) y sujetos (usuario y
grupos, equipos, procesos, roles) a los que se conceden derechos y privilegios para realizar
determinadas operaciones sobre los objetos.
Tipos de control de acceso:
1. Control de Acceso Obligatorio (MAC Mandatory Acces Control). Los permisos de acceso son
definidos por el sistema operativo
2. Control de Acceso Discrecional (DAC Directory Acces Control). Los permisos de acceso los
controla y configura el propietario de cada objeto
La política de Control de Acceso permite definir una seria de restricciones de acceso no solo en
función del sujeto si no también del horario y/o ubicación del sujeto.
AUTORIZACIÓN Y CONTROL DE ACCESO
LOGICO

Es necesario restringir los derechos y los privilegios administrativos a los usuarios.
Es recomendable controlar los intentos de acceso fraudulento a los datos, ficheros
y aplicaciones del sistema informático y , cuando sea técnicamente posible, se
debería guardar un registro de fecha, hora, código y clave errónea que se ha
introducido. Para descubrir la autoría de los accesos fraudulentos.
1.21 MOTORIZACIÓN DE
SERVIDORES Y DISPOSITIVOS DE
LA RED
Es necesario activar y configurar de forma adecuada en los servidores y dispositivos de red los
registros de actividad (“logs”), para que puedan facilitar información e indicadores sobre
aspectos como:

 Sesiones iniciadas por los usuarios en los servidores

 Procesos ejecutados en cada equipo informático
 Conexiones externas
 Acceso y utilización de los recursos del sistema
 Intentos de violación de la política de seguridad: autenticación fallida de usuarios,
intentos de acceso no autorizados a determinados recursos (carpetas, ficheros,
impresoras…) por parte de algunos usuarios etc.
 Detección de ataques sistemáticos de intentos de intrusión
1.22 PROTECCIÓN DE DATOS Y DE
DOCUMENTOS SENSIBLES
Clasificación de los documentos y datos que podrían adoptar en una empresa son:
Información sin clasificar o desclasificada: podría ser conocida por personas ajenas a la
empresa.
Información de uso interna: podría ser conocida y utilizada por empleados o un colaborador
externo autorizado, no conviene que esta sea divulgada a terceros.
Información confidencial: solo puede ser conocida y utilizada por un determinado grupo de
empleados. Su divulgación podría ocasionar daños significativos para la organización.
Información secreta o reservada: solo puede ser conocida y utilizada por un grupo muy
reducido de empleados, su divulgación puede generar graves daños para la organización.
PROTECCIÓN DE DATOS Y DOCUMENTOS
SENSIBLES
La organización tendrá que mantener una base de datos actualizada con la relación de los
documentos más sensibles registrando la fecha de creación, la utilización prevista, la fecha de
destrucción etc.
Medidas de protección como: operaciones de almacenamiento, transmisión, transporte,
tratamiento informático, impresión, destrucción.
Exigir el cifrado de los datos y documentos más sensibles, donde puede ser realizada por los
propios SO dentro del sistema de ficheros de cada maquina o bien por medio de aplicaciones
especificas como PGP.
También se utilizan dispositivos criptográficos que cian automáticamente un fichero antes de
guardarlo en un medio de almacenamiento secundario.
1.23 SEGURIDAD DE LAS
CONEXIONES REMOTAS
Deberán estar incluidas las medidas necesarias para garantizar la seguridad de las conexiones con
las delegaciones y otras dependencias de la organización.
Protocolos de encapsulamiento de datos en la implementación de Redes Privadas Virtuales (VPN):
IP Sec
PPTP
L2F
L2TP
SSL
Mediante algoritmos criptográficos suficientemente robusto se puede garantizar la
confidencialidad, la autenticidad e integridad de los datos en este tipo de conexiones.
SEGURIDAD DE LAS CONEXIONES
REMOTAS
Medidas de seguridad de los clientes remotos
Aislamiento de equipos remotos: se deben limitar los permisos de acceso de estos equipos y
registrar toda actividad sospechosa
Registro de las sesiones abiertas por usuarios remotos, estableciendo temporizadores para
detectar y cerrar las sesiones inactivas
Utilización de herramientas ej. VNC para controlar los equipos remotos y poder conectarse a éstos
para realizar tareas administrativos o incluso para proceder a su bloqueo.

La transmisión de datos y documentos a travez de esta conexión tienen un tratamiento especial.

Todas las salidas y entradas de estos datos deben de llevar a cabo por correo electrónico y deberpan
realizar únicamente desde cuentas y direcciones de correo especialmente por la organización,.
1.24 DETECCIÓN Y RESPUESTA ANTE
INCIDENTES DE SEGURIDAD
Herramientas para facilitar la detección rápida ante incidentes, como Sistemas de Detección de
Intrusiones. Una de las mas aconsejables es la creación de una base de datos para registrar cada
incidencia, indicando el tipo de incidencia, el momento que se ha producido, la persona que realiza
la notificación a quién se le comunica y los efectos que se hubieran derivado de la misma.
El registro de incidencias es una herramienta indispensable para la prevención de ataques.

Incidencia “cualquier anomalía

que afecte o pudiera afectar la
seguridad de los datos”

El conocimiento y la no notificación o registro de una incidencia por parte del usuario podría ser
considerado una violación de las Políticas de Seguridad de la organización por parte del usuario.
1.25 OTROS ASPECTOS A CONSIDERAR
Seguridad en el desarrollo, implementación y
mantenimiento de aplicaciones informáticas:
Todas las cambios y actualizaciones realizados en
las aplicaciones deberás ser aprobados de forma
segura y en un entorno independiente antes de
su puesta en marcha.
Seguridad en las operaciones de administración
y mantenimiento de la red y los equipos: Se
deben de actualizar de forma periódica los SO y
las distintas aplicaciones y servicios de la red.
Deberán de dar seguimiento semanal a todas las
noticias publicadas sobre agujeros de seguridad
detectados.

Creación, manejo y almacenamientos de

documentos relacionados con la seguridad del
sistema informático: Definir un procedimiento
para facilitar el registro de catalogación de
documentos relacionados con la seguridad, crear
una BD de conocimientos formada por
documentos técnicos, bibliografía, etc.
OTROS ASPECTOS A CONSIDERAR
Cumplimiento de la legislación vigente:
Las políticas de Seguridad también
deberían hacer mención al cumplimiento
y conformidad de estas políticas con las
exigencias del marco legal vigente.

Actualización y revisión de medidas de

seguridad: Se pueden reflejar en las
Políticas de seguridad de qué forma se va
a proceder para realizar un seguimiento
de listas y boletines de seguridad.
1.26 REALIZACIÓN DE PRUEBAS Y
AUDITORÍAS PERIÓDICAS
Constituyen un elemento de gran importancia para comprobar la adecuada implantación de las
directrices y medidas definidas en las políticas de seguridad.
Pruebas de Seguridad:
Análisis de posibles vulnerabilidades del sistema informático empleando herramientas como
Internet Security Scanner para tratar de localizar las vulnerabilidades mas conocidas.
Sondeos de seguridad que complementan el análisis de vulnerabilidades con tareas de
detección y de revisión de la instalación y configuración de equipos de seguridad.
Pruebas de intrusión trata de explorar las vulnerabilidades que se detectan.
Analisis y evaluación de registros.
REALIZACIÓN DE PRUEBAS Y
AUDITORÍAS PERIÓDICAS
Etapas de Auditorias
1. Planificación de la auditoria definiendo el ámbito y los objetivos perseguidos.
2. Realización de tareas planificadas, comentando cada una de estas tareas y los resultados
obtenidos.
3. Validación de los resultados de auditoria
4. Elaboración del informe con los resultados de la auditoría, las conclusiones y recomendaciones
5. Presentación y aprobación de auditoría por parte de los dueño y responsables del sistema.

Los trabajos de auditoría debería revisar el nivel de cumplimiento de los requisitos legales, como el
caso de la protección de datos personales.